Spread the love

3 min read

บทบาทของ “ฝ่าย IT” เมื่อบริษัทเตรียมเข้าจดทะเบียนในตลาดหลักทรัพย์ของไทย (SET / MAI)

it preparation for set mai listing

การเข้าจดทะเบียนในตลาดหลักทรัพย์ (ไม่ว่าจะเป็น ตลาดหลักทรัพย์แห่งประเทศไทย [SET] หรือ ตลาดหลักทรัพย์ เอ็ม เอ ไอ [MAI]) นับเป็นหมุดหมายสำคัญของบริษัทที่ต้องการขยายโอกาสในการระดมทุนและสร้างความเชื่อมั่นให้กับผู้ลงทุน อย่างไรก็ดี การเตรียมตัวด้าน IT (Information Technology) มีความสำคัญไม่น้อยกว่าด้านอื่น ๆ เพราะเป็นโครงสร้างพื้นฐานที่ช่วยรองรับการบริหารจัดการข้อมูล การเปิดเผยข้อมูล และการควบคุมภายในที่โปร่งใส

บทความนี้สรุปสิ่งที่ “ฝ่าย IT” ต้องทำ กับสิ่งที่เป็น ทางเลือก/แนะนำ ตลอดจน สิ่งที่ต้องมีแน่นอน (Must-Have) เพื่อให้การเข้าจดทะเบียนเป็นไปอย่างราบรื่นและเป็นไปตามมาตรฐานที่กำหนด

อ่านบทความนี้แล้วคุณจะได้อะไรบ้าง?

  • เข้าใจบทบาทและความสำคัญของฝ่าย IT ในการเตรียมความพร้อมเข้าสู่ตลาดหลักทรัพย์ไทย (SET / MAI)
  • รู้จักมาตรฐานและเกณฑ์หลัก ที่บริษัทจำเป็นต้องปฏิบัติตาม เช่น การรายงานทางการเงินตาม TFRS/IFRS และการควบคุมภายใน (Internal Control)
  • เจาะลึกประเด็นด้าน Cybersecurity และการปกป้องข้อมูล ซึ่งเป็นหัวใจสำคัญในการสร้างความเชื่อมั่นให้ผู้ลงทุน
  • เห็นภาพกระบวนการ Outsource งาน IT ว่าจะบริหารจัดการและวางเงื่อนไขอย่างไรให้มีประสิทธิภาพ รวมถึงการกำกับดูแลโดยเจ้าหน้าที่ IT ภายใน
  • ทราบแนวทางการจัดการโครงสร้างพื้นฐาน IT เช่น การตั้ง Server เอง vs. การใช้ Cloud หรือ Colocation และการดูแล Audit Trail ให้ตรวจสอบย้อนหลังได้
  • ได้เคล็ดลับการวางแผนระยะยาว ตั้งแต่การเลือกใช้งานระบบบัญชี/ERP การจัดเก็บเอกสารอิเล็กทรอนิกส์ (e-Document) ไปจนถึงแนวคิด Green IT เพื่อตอบโจทย์ ESG

เพียงสละเวลาสักครู่ อ่านให้จบ คุณก็จะเห็นภาพรวมทั้งหมดในการเตรียมงานด้าน IT เพื่อให้องค์กรของคุณก้าวเข้าสู่ตลาดหลักทรัพย์อย่างมั่นคง โปร่งใส และได้รับความเชื่อมั่นจากผู้ลงทุน!

1. บทบาทและความสำคัญของฝ่าย IT

  1. สนับสนุนการจัดทำงบการเงินตาม TFRS/IFRS
    • IT ต้อง จัดหา/ดูแลระบบบัญชีหรือ ERP ให้สามารถบันทึกและประมวลผลข้อมูลทางการเงินได้ถูกต้องตาม TFRS (Thai Financial Reporting Standards) หรือ IFRS (International Financial Reporting Standards) ซึ่งเป็นมาตรฐานที่ตลาดหลักทรัพย์และสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.) กำหนด
  2. วางระบบควบคุมภายในและตรวจสอบย้อนหลัง (Audit Trail)
    • IT ต้อง จัดการสิทธิ์การเข้าถึง (Access Control) ให้เหมาะสม และบันทึก Log หรือ Audit Trail ในระบบหลัก (เช่น ระบบบัญชี การเงิน หรือระบบสารสนเทศส่วนกลาง) เพื่อให้ฝ่ายตรวจสอบภายใน (Internal Audit) และผู้สอบบัญชีอิสระ (External Auditor) ทำงานได้อย่างมีประสิทธิภาพ
  3. ดูแลการเปิดเผยข้อมูล (Disclosure) ตามเกณฑ์ตลาดหลักทรัพย์
    • IT ต้อง ดูแลให้มีระบบหรือเว็บไซต์ (Investor Relations Section / Portal) ที่พร้อมในการเผยแพร่ข้อมูลสำคัญ เช่น งบการเงิน รายงานประจำปี ข่าวสารต่อผู้ลงทุน (สอดคล้องกับข้อกำหนดของ ก.ล.ต. และตลาดหลักทรัพย์)
  4. บริหารจัดการความเสี่ยงด้าน IT และ Cybersecurity
    • IT ต้อง มีระบบสำรองข้อมูล (Backup) และแผนกู้คืนกรณีฉุกเฉิน (Disaster Recovery Plan) ที่ผ่านการทดสอบ
    • ดูแลด้านความปลอดภัยไซเบอร์ (Firewall, Anti-malware, Monitoring ฯลฯ) เพื่อป้องกันการสูญหายหรือรั่วไหลของข้อมูลสำคัญ
  5. รองรับการตรวจสอบภายในและภายนอก
    • IT ต้อง เตรียมเอกสาร ข้อมูล และ Log ที่จำเป็นสำหรับตรวจสอบระบบ (IT Audit) ให้กับทั้งฝ่ายตรวจสอบภายในและผู้สอบบัญชีอิสระ
    • ปรับปรุงและแก้ไขข้อบกพร่องด้าน IT ตามคำแนะนำหรือข้อกำหนดของตลาดหลักทรัพย์

2. มาตรฐานและข้อกำหนดที่เกี่ยวข้อง

  1. TFRS/IFRS
    • มาตรฐานการรายงานทางการเงินที่บริษัทจดทะเบียนต้องปฏิบัติตาม เพื่อความโปร่งใสและสอดคล้องกับมาตรฐานสากล
  2. COSO และ COBIT
    • COSO: กรอบการควบคุมภายในระดับองค์กร
    • COBIT: กรอบการบริหารจัดการและควบคุมระบบ IT โดยเฉพาะ
    • (ทางเลือก/แนะนำ) แม้จะไม่บังคับใช้ทั้งหมด แต่การนำหลักการของ COBIT หรือ COSO มาปรับใช้ จะช่วยยกระดับการกำกับดูแลและความน่าเชื่อถือของกระบวนการ IT
  3. กฎหมายและข้อกำหนดเฉพาะของ ก.ล.ต. / ตลาดหลักทรัพย์
    • พระราชบัญญัติหลักทรัพย์และตลาดหลักทรัพย์ พ.ศ. 2535
    • ข้อกำหนดด้านการเปิดเผยข้อมูล (Disclosure)
    • เกณฑ์การกำกับดูแลกิจการ (Corporate Governance) และการจัดประชุมผู้ถือหุ้น

3. สิ่งที่ “ต้องทำ” (Mandatory) vs. “ทางเลือก/แนะนำ” (Optional but Recommended)

3.1 สิ่งที่ “ต้องทำ” (Mandatory)

  1. รองรับ TFRS/IFRS ในระบบบัญชี/การเงิน
    • จัดระบบหรือ ERP ให้ฝ่ายบัญชีสามารถจัดทำงบการเงินที่ถูกต้องตามเกณฑ์
    • บันทึก Log/Transaction ทั้งหมด เพื่อให้ง่ายต่อการตรวจสอบย้อนหลัง
  2. มีระบบควบคุมภายใน (Internal Control) ที่ตรวจสอบได้
    • ตั้งค่า Access Control, Audit Log ให้ครบถ้วน และกำหนดหน้าที่ความรับผิดชอบของผู้ใช้งาน (User Role)
  3. เปิดเผยข้อมูลบริษัทอย่างโปร่งใส
    • มีหน้า IR (Investor Relations) หรือระบบประกาศข่าวสารต่อผู้ถือหุ้น/ผู้ลงทุน
    • ดูแลระบบให้พร้อมใช้งาน (High Availability) และมีมาตรการป้องกันการเข้าถึงที่ไม่เหมาะสม
  4. มาตรการด้าน Cybersecurity
    • มี Backup, Firewall, Anti-malware, วิธีป้องกันการเจาะระบบ (Penetration Testing) หรือแผนกู้คืนกรณีฉุกเฉิน (DR Plan)
  5. รองรับการตรวจสอบภายใน/ภายนอก
    • จัดเก็บ Log หรือประวัติการใช้งานระบบต่าง ๆ
    • เตรียมบุคลากรหรือผู้เกี่ยวข้องให้พร้อมสำหรับการตอบคำถามของ Auditor

3.2 สิ่งที่เป็น “ทางเลือก/แนะนำ” (Optional but Recommended)

  1. นำกรอบ COBIT หรือ ISO 27001 มาใช้
    • ช่วยกำหนดมาตรฐานการบริหารและการควบคุมระบบ IT ให้มีประสิทธิภาพยิ่งขึ้น
    • เพิ่มความเชื่อมั่นแก่ผู้ลงทุนและผู้ตรวจสอบ
  2. ใช้ ERP หรือ Cloud Service
    • ช่วยลดต้นทุนในการดูแลระบบเอง (On-Premise) และทำให้ขยายระบบได้ง่าย
    • มีผู้ให้บริการมืออาชีพดูแลด้านอัปเดตและความปลอดภัย
  3. ระบบประชุมผู้ถือหุ้นทางอิเล็กทรอนิกส์ (e-Meeting) และ e-Voting
    • เพิ่มความสะดวกให้ผู้ถือหุ้นและสอดคล้องกับกระแส ESG (Environmental, Social, Governance)
    • ลดการใช้ทรัพยากรและเพิ่มความโปร่งใสในการลงมติ
  4. บูรณาการ ESG กับระบบ IT
    • สนับสนุนการลดการใช้พลังงานในศูนย์ข้อมูล (Data Center) ผ่านการใช้เทคโนโลยี Cloud หรือ Virtualization
    • พัฒนาเครื่องมือสำหรับติดตามผลกระทบด้านสิ่งแวดล้อมและสังคม

4. สิ่งที่ “ต้องมีแน่น ๆ” (Must-Have Items)

  1. ระบบบัญชี/การเงินที่สนับสนุนการจัดทำ TFRS/IFRS
    • เป็นหัวใจในการทำงานร่วมกับฝ่ายบัญชี เพื่อให้งบการเงินที่ยื่นต่อ ก.ล.ต. และตลาดหลักทรัพย์ถูกต้อง
  2. Audit Log / System Log ที่ตรวจสอบได้
    • ผู้ตรวจสอบจำเป็นต้องยืนยันได้ว่า ข้อมูลหรือการเปลี่ยนแปลงต่าง ๆ เกิดขึ้นเมื่อไร โดยใคร และมีหลักฐานชัดเจน
  3. Cybersecurity ขั้นพื้นฐาน
    • Firewall, Anti-malware, การเข้ารหัส (Encryption) สำหรับข้อมูลสำคัญ และ Backup ที่กู้คืนได้จริง
  4. ระบบ/ช่องทางเผยแพร่ข้อมูลผู้ถือหุ้นและนักลงทุน
    • อย่างน้อยควรมี Investor Relations Portal ที่ลงข้อมูลงบการเงิน รายงานประจำปี และข่าวสารสำคัญ
  5. ความพร้อมในการตรวจสอบด้าน IT
    • มีเอกสาร กระบวนการทำงาน (SOP) และระบบสารสนเทศที่สามารถ “ดึงข้อมูลเพื่อตรวจสอบย้อนหลัง” ได้ตามข้อกำหนด

5. FAQs (คำถามที่พบบ่อย)

ต่อไปนี้คือคำถามที่มักจะพบเจอบ่อยเกี่ยวกับบทบาทของฝ่าย IT ในการเตรียมตัวเข้าตลาดหลักทรัพย์ (SET/MAI) พร้อมคำตอบแบบสั้น กระชับ และตรงประเด็น

1) มีเจ้าหน้าที่ IT 1 คน และ Outsource ที่เหลือได้ไหม

คำตอบ

  • ทำได้ ตราบใดที่บริษัทมั่นใจว่า เจ้าหน้าที่ IT ภายใน สามารถกำกับดูแลและสื่อสารกับทีม Outsource ได้อย่างมีประสิทธิภาพ
  • บริษัทจำเป็นต้องมี คนภายใน ที่เข้าใจกฎระเบียบและมาตรฐานของตลาดหลักทรัพย์ รวมถึงมาตรฐานการรายงานทางการเงิน (TFRS/IFRS) การควบคุมภายใน (Internal Control) และ Cybersecurity เพื่อประสานงานและตรวจสอบการทำงานของ Outsource
  • ข้อควรระวัง คือ Outsource อาจดูแลลูกค้าหลายราย จึงต้องแน่ใจว่า Service Level Agreement (SLA) ระบุชัดเจนในด้าน ความพร้อมใช้งาน (Availability), เวลาตอบสนอง (Response Time), และ ความปลอดภัย (Security)

2) หากบริษัทไม่มีฝ่าย IT ขนาดใหญ่ ควรทำอย่างไร

คำตอบ

  1. Outsource หรือ Cloud Service
    • เลือกจ้างบริษัทภายนอกที่มีความเชี่ยวชาญด้าน IT Infrastructure, Cybersecurity, ระบบบัญชี/ERP ฯลฯ เพื่อช่วยวางระบบ
    • ควรทำสัญญาที่ระบุขอบเขตงาน (Scope of Work) และตัวชี้วัดความสำเร็จ (KPIs) ชัดเจน
  2. เจ้าหน้าที่ IT ภายใน
    • ยังจำเป็น เพื่อประสานงาน กำกับดูแล Outsource และตรวจสอบให้แน่ใจว่าระบบ IT ของบริษัทสอดคล้องกับข้อกำหนดของตลาดหลักทรัพย์

3) ต้องมีการตรวจสอบด้าน IT บ่อยแค่ไหน

คำตอบ

  • ตรวจสอบภายใน (Internal IT Audit): อย่างน้อย ปีละ 1 ครั้ง หรือบ่อยกว่านั้นหากมีความเสี่ยงด้านข้อมูลหรือธุรกรรมสูง
  • ตรวจสอบภายนอก (External Audit): ผู้สอบบัญชีภายนอกจะเข้ามาตรวจสอบระบบ IT ร่วมกับการตรวจสอบงบการเงิน เพื่อประเมิน “การควบคุมภายใน” ว่ามีประสิทธิภาพหรือไม่

4) ต้องใช้กรอบมาตรฐาน COBIT ทุกบริษัทหรือไม่

คำตอบ

  • ไม่บังคับ แต่ COBIT เป็นกรอบสากลที่ช่วยให้การบริหารจัดการและการควบคุมระบบ IT มีโครงสร้าง มีระเบียบโปร่งใส
  • เหมาะกับบริษัทที่ต้องการยกระดับมาตรฐาน IT ให้สอดคล้องกับเกณฑ์ของตลาดหลักทรัพย์ (CG, Internal Control) และรองรับการเติบโตในอนาคต

5) หากไม่มีระบบ ERP จะเข้าตลาดหลักทรัพย์ได้ไหม

คำตอบ

  • ทำได้ แต่ต้องมี ระบบบัญชี หรือระบบการเงินที่รองรับมาตรฐาน TFRS/IFRS
  • ระบบควรมี Audit Trail หรือ Log ของการบันทึกข้อมูล เพื่อให้ผู้ตรวจสอบภายใน/ภายนอกเข้าถึงได้

6) ต้องได้รับใบรับรอง ISO 27001 ก่อนเข้าตลาดหลักทรัพย์หรือไม่

คำตอบ

  • ไม่จำเป็น ต้องมี แต่ถ้าได้ใบรับรอง ISO 27001 (มาตรฐานระบบบริหารความปลอดภัยสารสนเทศ) จะเพิ่มความเชื่อมั่นด้าน Cybersecurity ให้ผู้ลงทุนและผู้ตรวจสอบ

7) ฝ่าย IT ต้องเกี่ยวข้องกับการเปิดเผยข้อมูล (Disclosure) อย่างไร

คำตอบ

  • ต้อง ดูแลระบบ หรือ เว็บไซต์ ที่ใช้เปิดเผยข้อมูล เช่น Investor Relations (IR) Portal
  • ระบบต้องมี ความพร้อมใช้งานสูง (High Availability) ปลอดภัย และอัปเดตข้อมูลผู้ถือหุ้น/ผู้ลงทุนได้ทันท่วงที

8) ต้องมี Audit Trail ในทุกระบบ IT หรือไม่

คำตอบ

  • ควรมี ในระบบที่เกี่ยวข้องกับข้อมูลการเงิน ข้อมูลผู้ถือหุ้น หรือข้อมูลสำคัญอื่น ๆ
  • ถ้าไม่มี Audit Trail เลย จะเสี่ยงต่อการทุจริตหรือการแก้ไขข้อมูลที่ตรวจสอบย้อนหลังไม่ได้

9) หากระบบเกิด Downtime บ่อย ๆ จะมีผลอย่างไรต่อการเข้าตลาดหลักทรัพย์

คำตอบ

  • อาจกระทบความน่าเชื่อถือในสายตาผู้ลงทุน ตลาดหลักทรัพย์คาดหวังให้บริษัทมี High Availability และแผนกู้คืนกรณีฉุกเฉิน (Disaster Recovery Plan)
  • ควรลด Downtime ให้เหลือน้อยที่สุด เพื่อให้การเปิดเผยข้อมูลเป็นไปอย่างราบรื่น

10) จำเป็นต้องทำ Penetration Test (Pentest) กับระบบ IT หรือไม่

คำตอบ

  • ไม่กำหนดเป็นข้อบังคับชัดเจน แต่ “แนะนำ” ให้ทำ Pentest เป็นระยะ เพื่อค้นหาและอุดช่องโหว่ Cybersecurity
  • ผลทดสอบจะสร้างความเชื่อมั่นให้ผู้ถือหุ้นว่าบริษัทมีมาตรการปกป้องข้อมูล

11) ถ้าใช้ Cloud ต้องจัดการเรื่องความปลอดภัยอย่างไร

คำตอบ

  1. ตรวจสอบมาตรฐานผู้ให้บริการ (Cloud Provider) เช่น ISO 27001, SOC 2
  2. Access Control เข้มงวด เช่น ใช้ Multi-Factor Authentication
  3. ติดตาม Log อย่างสม่ำเสมอ เพื่อดูความผิดปกติและเหตุการณ์สำคัญ

12) ฝ่าย IT ต้องสนับสนุนการประชุมผู้ถือหุ้นอย่างไร

คำตอบ

  • จัดเตรียมระบบ e-Meeting หรือ e-Voting พร้อมระบบอินเทอร์เน็ตความเร็วสูง
  • เก็บ Log การเข้าร่วมประชุมและการโหวต เพื่อตรวจสอบย้อนหลังได้ (Audit Trail)

13) จำเป็นต้องใช้ Digital Signature หรือไม่

คำตอบ

  • ไม่บังคับ แต่ Digital Signature ช่วยเพิ่มความน่าเชื่อถือในการลงนามเอกสารอิเล็กทรอนิกส์ ลดการใช้กระดาษ และเสริมภาพลักษณ์ทันสมัย

14) หากเกิด Data Breach ก่อนเข้าตลาดหลักทรัพย์ต้องทำอย่างไร

คำตอบ

  • เร่งแก้ไขช่องโหว่และ เปิดเผยข้อมูล หากเป็นเหตุการณ์ที่กระทบผู้ลงทุนตามข้อกำหนดของ ก.ล.ต.
  • ปรับปรุงระบบ Cybersecurity และฝึกอบรมพนักงาน เพื่อป้องกันไม่ให้เกิดซ้ำ

15) ควรเก็บ Log ไว้นานแค่ไหน

คำตอบ

  • โดยทั่วไป นิยมเก็บอย่างน้อย 6 เดือน – 1 ปี ขึ้นอยู่กับนโยบายภายใน และกฎหมายที่เกี่ยวข้อง
  • ข้อมูลอ่อนไหวหรือเสี่ยงอาจเก็บนานกว่านั้นเพื่อรองรับการตรวจสอบย้อนหลัง

16) ฝ่าย IT ต้องประสานงานกับฝ่ายบัญชีอย่างไร

คำตอบ

  • ตั้งค่าสิทธิ์ (User Role) ในระบบบัญชี/การเงิน ให้รัดกุม ป้องกันการสับเปลี่ยนหน้าที่ (Segregation of Duties)
  • ระบบรองรับมาตรฐาน TFRS/IFRS และช่วยสร้างรายงานที่ผู้สอบบัญชีต้องการ

17) ต้องใช้ระบบ Ticketing ในการจัดการปัญหาด้าน IT หรือไม่

คำตอบ

  • ไม่บังคับ แต่ มีระบบ Ticketing จะช่วยติดตามสถานะการแก้ไขปัญหาได้อย่างเป็นระบบ และใช้เป็นหลักฐานในการตรวจสอบภายหลัง

18) ระบบ IT ที่เกี่ยวกับ HR (Human Resources) ต้องเข้มงวดขนาดไหน

คำตอบ

  • ควรกำหนด Access Control เข้มงวด เพราะข้อมูล HR มีความอ่อนไหว (PDPA/GDPR)
  • หากใช้ Cloud ต้องตรวจสอบมาตรฐานความปลอดภัยของผู้ให้บริการ

19) จำเป็นต้องใช้ 2-Factor Authentication (2FA) หรือไม่

คำตอบ

  • แนะนำอย่างยิ่ง ในระบบที่เกี่ยวข้องกับข้อมูลการเงิน ผู้ถือหุ้น หรือระบบสำคัญของบริษัท เพื่อลดความเสี่ยงจากการขโมยรหัสผ่าน

20) ฝ่าย IT มีส่วนเกี่ยวข้องกับคณะกรรมการตรวจสอบ (Audit Committee) อย่างไร

คำตอบ

  • อาจต้องจัดทำ รายงานด้าน IT หรือเข้าร่วมประชุมเมื่อมีประเด็นเรื่องระบบควบคุมภายใน (Internal Control) หรือ Cybersecurity
  • ชี้แจงประเด็นเสี่ยงและแนวทางแก้ไขต่อ Audit Committee

21) ถ้าระบบบัญชีเป็น Excel หรือโปรแกรมพื้นฐาน จะเพียงพอไหม

คำตอบ

  • ระยะสั้น อาจพอได้ ถ้าธุรกิจไม่ซับซ้อนและมี Internal Control ที่ดี
  • ระยะยาว ควรลงทุนในระบบบัญชี/ERP ที่ได้มาตรฐาน รองรับ TFRS/IFRS และการขยายตัวของธุรกิจ

22) ฝ่าย IT ต้องรับผิดชอบการจัดเก็บเอกสารอิเล็กทรอนิกส์ (e-Document) หรือไม่

คำตอบ

  • ควรดูแลระบบ e-Document ที่เก็บเอกสารสำคัญทางการเงิน นโยบาย หรือเอกสารของบริษัทให้ปลอดภัย มี Backup
  • กำหนดสิทธิ์การเข้าถึง และจัดเก็บ Log การเปลี่ยนแปลงเอกสารสำคัญ

23) ESG (Environmental, Social, Governance) กับ IT เกี่ยวข้องกันอย่างไร

คำตอบ

  • Green IT: ใช้ Cloud หรือ Virtualization เพื่อลดการใช้พลังงาน
  • สร้างระบบติดตามข้อมูล ESG เช่น การใช้ทรัพยากร, การปล่อย CO2 เพื่อรายงานผู้ถือหุ้น

24) บริษัทต้องเปิดเผยนโยบายความปลอดภัยด้าน IT หรือไม่

คำตอบ

  • ไม่จำเป็นต้องเปิดเผยรายละเอียดเชิงลึกทั้งหมด แต่ ควรระบุ ในรายงานประจำปี (Annual Report) หรือ IR Portal ว่ามีมาตรการด้าน Cybersecurity หรือ IT Security Policy
  • แสดงให้เห็นว่าบริษัทให้ความสำคัญกับการป้องกันข้อมูล

25) หากบริษัทแม่อยู่ต่างประเทศ ระบบ IT ในไทยต้องสอดคล้องตามแม่แบบ (Global Policy) ไหม

คำตอบ

  • ควรให้ สอดคล้อง กันเพื่อการบริหารจัดการที่เป็นเอกภาพ
  • พร้อมกันนั้นต้อง ตรวจสอบ ไม่ขัดกับข้อกำหนดของตลาดหลักทรัพย์ไทยและกฎหมายภายในประเทศ

26) ใช้เวลาเตรียม IT นานแค่ไหนก่อนยื่นเข้าตลาดหลักทรัพย์

คำตอบ

  • โดยทั่วไปแนะนำให้ เริ่มล่วงหน้า 1-2 ปี เพื่อปรับปรุง ทดสอบ และแก้ไขจุดอ่อนต่าง ๆ
  • กระบวนการเข้าตลาดหลักทรัพย์มีการตรวจสอบหลายขั้นตอน (Due Diligence) และอาจใช้เวลานานกว่าคาด หากระบบ IT ไม่พร้อม

27) Server เราต้องตั้งเอง หรือใช้ที่อื่นได้ไหม

คำตอบ

  • ไม่จำเป็น ต้องตั้ง Server เอง ถ้าบริษัทไม่มีทรัพยากรเพียงพอ สามารถใช้ Cloud Server หรือ Colocation (เช่าพื้นที่ Data Center)
  • ควรพิจารณา Security, Availability, Cost และประเมิน SLA กับผู้ให้บริการ

28) Server ต้องอยู่ในประเทศไทยไหม

คำตอบ

  • ไม่มีข้อบังคับตายตัว เว้นกฎหมายเฉพาะบางกรณี (เช่น ข้อมูลภาครัฐหรือการเงินบางประเภท)
  • สิ่งสำคัญคือ การตรวจสอบได้ (Auditability) และการปฏิบัติตามข้อกำหนดของตลาดหลักทรัพย์และ ก.ล.ต.

29) มีประเด็นอื่น ๆ เกี่ยวกับโครงสร้างพื้นฐาน IT เมื่อเข้าตลาดหลักทรัพย์ไหม

คำตอบ

  1. การสำรองข้อมูล (Backup) และ Disaster Recovery (DR)
    • ควรมีแผน DR ที่ทดสอบจริงเป็นระยะ คุ้มครองข้อมูลงบการเงินและ Log ต่าง ๆ
  2. กฎหมายคุ้มครองข้อมูล (PDPA / GDPR)
    • หากมีการย้ายหรือเก็บข้อมูลข้ามประเทศ ต้องตรวจสอบข้อกฎหมายที่เกี่ยวข้อง
  3. Log จากระบบ Cloud
    • แม้ใช้ Cloud ก็ควรมี Audit Trail ที่ Internal Audit และ External Audit เข้าถึงได้
  4. Hybrid Model
    • ผสมระหว่าง On-Premise (สำหรับข้อมูลสำคัญ) และ Cloud (สำหรับงานอื่น ๆ)
  5. Compliance ของผู้ให้บริการ
    • ตรวจสอบใบรับรอง ISO 27001, SOC 2, PCI-DSS ฯลฯ ของผู้ให้บริการ Data Center หรือ Cloud

6. บุคลากรและหน้าที่ที่เกี่ยวข้อง

  1. CIO/IT Director
    • กำหนดยุทธศาสตร์ด้าน IT ให้สอดคล้องกับเป้าหมายองค์กรและกฎเกณฑ์ตลาดหลักทรัพย์
    • ประสานงานกับผู้บริหารระดับสูง (CEO, CFO, Audit Committee)
  2. IT Manager / IT Security Manager
    • ดูแลโครงสร้างพื้นฐาน IT, การเข้าถึงระบบ, การรักษาความปลอดภัยไซเบอร์
    • จัดสรรงานให้ทีม IT และตรวจสอบความพร้อมของระบบ
  3. IT Auditor (ภายใน) / ผู้ตรวจสอบระบบ (ภายนอก)
    • ตรวจสอบระบบสารสนเทศ การควบคุมภายใน และประเมินความเสี่ยงของระบบ IT
    • รายงานผลต่อคณะกรรมการตรวจสอบ (Audit Committee) หรือฝ่ายบริหาร
  4. External Consultant / Outsource
    • ให้คำปรึกษาหรือให้บริการวางระบบตามมาตรฐาน TFRS, IFRS, COBIT, ISO 27001 ฯลฯ
    • เหมาะสำหรับบริษัทที่ไม่มีทีม IT ขนาดใหญ่

7. แนวทางปฏิบัติและสรุปขั้นตอน

  1. ประเมินระบบ IT ปัจจุบัน
    • ตรวจสอบว่าได้มาตรฐานหรือรองรับด้านบัญชี (TFRS/IFRS) การควบคุมภายใน Cybersecurity แล้วหรือไม่
    • ประเมินว่าเพียงพอไหมเมื่อเทียบกับข้อกำหนดของตลาดหลักทรัพย์ (SET/MAI)
  2. จัดทำแผนปรับปรุง/พัฒนา
    • แบ่งประเด็นว่าอะไร “ต้องทำ (Mandatory)” เช่น ระบบ Audit Log, Access Control
    • และอะไรที่เป็น “ทางเลือก/แนะนำ” เช่น นำกรอบ COBIT, ระบบ e-Meeting, e-Voting
  3. แต่งตั้งผู้รับผิดชอบและจัดสรรงบประมาณ
    • ให้ CIO/IT Director วางนโยบายและทำงานร่วมกับ CFO, ฝ่ายบัญชี, ฝ่ายตรวจสอบภายใน
    • ทีม IT หรือผู้รับเหมาภายนอกเป็นผู้ปฏิบัติ/ปรับปรุงระบบ
  4. ดำเนินการติดตั้ง/ปรับปรุง และเก็บหลักฐาน
    • จัดเก็บ Log, จัดทำ Audit Trail, สำรองข้อมูล ทดสอบ DR Plan อย่างสม่ำเสมอ
    • จัดทำเอกสาร SOP (Standard Operating Procedures) ด้าน IT
  5. ตรวจสอบประจำปีและติดตามผล
    • ฝ่ายตรวจสอบภายใน (Internal Audit) และผู้สอบบัญชีอิสระ (External Auditor) จะเข้ามาตรวจสอบระบบเป็นระยะ
    • แก้ไขข้อบกพร่องตามคำแนะนำเพื่อให้สอดคล้องกับมาตรฐานของตลาดหลักทรัพย์

ฝ่าย IT เป็นฟันเฟืองสำคัญที่ช่วยให้กระบวนการเข้าตลาดหลักทรัพย์เป็นไปอย่างราบรื่น นอกจากการจัดทำงบการเงินหรือการเปิดเผยข้อมูลแล้ว ยังต้องเตรียมพร้อมด้านความปลอดภัยไซเบอร์ การตรวจสอบภายใน และระบบควบคุมภายในที่โปร่งใส เมื่อทุกอย่างสอดประสานกันดี บริษัทจะมีความน่าเชื่อถือในสายตาของผู้ลงทุนและผู้ตรวจสอบ อีกทั้งยังสร้าง “Governance” ที่มั่นคง ซึ่งเป็นรากฐานสำคัญในการเติบโตแบบยั่งยืนในตลาดทุนไทย หวังว่าบทความนี้จะเป็นประโยชน์สำหรับ ฝ่าย IT และผู้บริหารที่เตรียมตัวเข้าจดทะเบียนในตลาดหลักทรัพย์ของไทย ไม่ว่าจะเป็น SET หรือ MAI ก็ตาม.

 

ตารางสรุปสิ่งที่ต้องทำด้าน IT ก่อนเข้าตลาดหลักทรัพย์

ลำดับ รายการงาน ต้องทำ (Must) / ทางเลือก (Optional) รายละเอียด / หมายเหตุ
1 ปรับระบบบัญชีตามมาตรฐาน TFRS/IFRS ต้องทำ (Must) จำเป็นต้องจัดเตรียมระบบ (หรือ ERP) ที่รองรับ
การบันทึกและรายงานงบการเงินตามมาตรฐาน
เพื่อให้ฝ่ายบัญชีและผู้สอบบัญชีสามารถตรวจสอบได้
2 กำหนดสิทธิ์การเข้าถึงและทำ Audit Trail ต้องทำ (Must) ตั้งค่าการเข้าถึง (Access Control) สำหรับระบบสำคัญ
และบันทึก Log (Audit Trail)
เพื่อรองรับการตรวจสอบภายในและภายนอก
3 ดูแลระบบ Disclosure/IR Portal ต้องทำ (Must) จัดเตรียมเว็บไซต์หรือระบบเผยแพร่ข้อมูล (Investor Relations)
ให้ผู้ถือหุ้นเข้าถึงงบการเงินและข่าวสารได้ง่าย
มีความพร้อมใช้งานสูง (High Availability)
4 สร้าง/ทดสอบแผนกู้คืนระบบ (Disaster Recovery Plan) ต้องทำ (Must) จัดทำขั้นตอนสำรองข้อมูล (Backup)
และวางแผนกู้คืน (DR)
เพื่อลด Downtime และป้องกันการสูญหายของข้อมูลสำคัญ
5 บริหารจัดการความปลอดภัยไซเบอร์ (Cybersecurity) ต้องทำ (Must) ติดตั้ง Firewall, Anti-malware,
ตั้งค่า Access Control อย่างเข้มงวด
และอาจพิจารณาใช้ 2-Factor Authentication ในระบบสำคัญ
6 ระบบ Ticketing สำหรับจัดการปัญหา IT ทางเลือก (Optional) แม้ไม่บังคับ แต่การมี Ticketing System
ช่วยบันทึก/ติดตามปัญหาได้อย่างมีประสิทธิภาพ
และเป็นหลักฐานในการตรวจสอบย้อนหลัง
7 ระบบ e-Meeting / e-Voting สำหรับผู้ถือหุ้น ทางเลือก (Optional) เพิ่มความสะดวกในการจัดประชุมผู้ถือหุ้น
และสร้างความโปร่งใสในการลงมติ
(เหมาะกับการปรับตัวสู่ยุคดิจิทัล)
8 ดำเนินการทดสอบเจาะระบบ (Pentest/Vulnerability Scan) ทางเลือก (Optional) ไม่ได้เป็นข้อกำหนดบังคับ แต่ช่วยค้นหาช่องโหว่
และเพิ่มความเชื่อมั่นด้านความปลอดภัยไซเบอร์
9 นำกรอบมาตรฐาน IT เช่น COBIT / ISO 27001 มาใช้ ทางเลือก (Optional) แม้ไม่จำเป็นสำหรับการจดทะเบียนโดยตรง
แต่เป็นแนวทางที่ช่วยยกระดับการกำกับดูแล
และการควบคุมระบบ IT ให้แข็งแกร่ง
10 บูรณาการ Green IT หรือ ESG กับงาน IT ทางเลือก (Optional) ปรับระบบโครงสร้างพื้นฐานให้ประหยัดพลังงาน (เช่น Cloud/Virtualization)
และสนับสนุนรายงาน ESG เพื่อดึงดูดผู้ลงทุนที่ใส่ใจความยั่งยืน

หมายเหตุ: รายการ “ต้องทำ (Must)” คือสิ่งที่ควรเร่งดำเนินการและมีผลต่อการจดทะเบียนในตลาดหลักทรัพย์โดยตรง
(เช่น TFRS/IFRS, Audit Trail, Cybersecurity เบื้องต้น, การเปิดเผยข้อมูล IR)
ส่วนรายการ “ทางเลือก (Optional)” เป็นแนวทางหรือเทคโนโลยีเสริมที่ช่วยเพิ่มประสิทธิภาพ
และความน่าเชื่อถือให้กับองค์กร แต่ไม่ใช่ข้อกำหนดบังคับ

 

 

ต้องการมืออาชีพช่วยเขียนบทความ? บริการเขียนบทความ คุณภาพสูง เน้นการปรับแต่งให้เหมาะสมกับรูปแบบธุรกิจและบริการของคุณ!
เพิ่มโอกาสให้เว็บไซต์ของคุณติดอันดับในหน้าแรก ด้วย บทความ SEO ที่มีคุณภาพ ติดต่อเราเพื่อพัฒนากลยุทธ์การตลาดดิจิทัลของคุณวันนี้


Spread the love

Related posts:

  1. องค์กรปั่นป่วน! เผยความลับ—ใครควรตรวจนับอุปกรณ์ IT ตัวจริง: IT หรือ บัญชี?